emlog漏洞phpinfo泄露敏感信息

emlog 系统 对于现在 漏洞 还是蛮多的

今天有个大佬 帮我测试安全

emlog漏洞

发现一处漏洞 此漏洞 可直接泄露服务器 敏感信息

phpinfo暴露敏感信息

漏洞位置:

EMLOG漏洞

如上图,我们只要输入如下的URL:

http://域名/admin/index.php?action=phpinfo

直接访问:
emlog漏洞

1.需要登陆(至少是网站的会员/作者权限)

解决方法:

1.此处获取phpinfo的信息应该是网站后台需要的,我们把这个函数(上图红线方框内代码)删除即可;

2.限制权限(仅允许管理员),则修改为如下代码:

//phpinfo()
if ($action == 'phpinfo') {
    if (ROLE == ROLE_ADMIN){
         @phpinfo() OR emMsg("phpinfo函数被禁用!");
    }
else{
    emMsg('权限不足!','./');
 }
}

作者:DYBOY
链接:https://www.jianshu.com/p/658e34daf718

完结

后台十三已经加固 这是十三没有做好

版权声明:《 emlog漏洞phpinfo泄露敏感信息 》为作者 十三原创文章,转载请注明出处!
最后编辑:2019-8-23
发表评论 / Comment

用心评论~